GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez

Introducción Proceso de planificación del ciclo de vida de la seguridad de la información en una organización. Conjunto de actividades que llevan a implantar, mantener y revisar ciertas medidas de seguridad.

Introducción http://www.gbm.net/bt/bt48/tendencias/se_encuentra_segura_su_informacion.php

Plan de Seguridad Se trata de un estudio estratégico que determina cuáles son los activos de información más valiosos y cómo protegerlos. Este plan debe incluir toda la información, con independencia de su soporte.

Etapas del Plan de Seguridad Formulación de un política de seguridad. Establecimiento de una estructura de gestión. Implantación de un programa de seguridad.

Política de Seguridad Conjunto de principios y reglas generales que regulan la forma de proteger la información en todas las fases de su tratamiento.

Política de Seguridad Como paso previo a la determinación de la política de seguridad, deben estudiarse: Grado de criticidad de los diversos servicios respecto de la información y del valor de ésta para aquellos. Nivel de inversión en Tecnologías de la Información. Amenazas que sufre la información. Vulnerabilidades de los sistemas y productos TI existentes. Medidas de seguridad ya implantadas.

Política de Seguridad Factores a considerar: Ocasionalmente puede elaborarse sólo para algunas áreas. Implicación de los máximos responsables de la organización. Mejor conocimiento del sistema. Las decisiones que se toman afectan a todo el Sistema de Información. Relaciones con otras políticas de seguridad de la organización. Actores que intervienen en la creación de la política.

Política de Seguridad Aspectos a tratar: Organizativos Responsables, tareas y líneas de dependencia

Política de Seguridad Aspectos a tratar: De Personal Establecimiento de sanciones administrativas Formación de los empleados en seguridad

Política de Seguridad Aspectos a tratar: De Procedimiento Referencia obligada para todo el ciclo de vida de los sistemas de información. Metodologías de desarrollo, mantenimiento, adquisición. Gestión de los procedimientos creados.

Política de Seguridad Debe tratarse: Clasificación de la información con respecto a su sensibilidad e importancia para la organización o a las disposiciones legales al efecto. Sensibilidad con respecto a la confidencialidad, integridad, disponibilidad o autenticidad. Alto secreto, secreto, confidencial y no clasificado. Confidencial, restringida, de uso interno y no clasificada.

Política de Seguridad Debe tratarse: Gestión de Incidentes Aplicación optima de los recursos de seguridad. Previsión de escenarios. Histórico de incidentes.

Política de Seguridad Debe Incluir: Plan de contingencia Auditoría Mantener el nivel adecuado de trabajo en la organización. Auditoría Extensión y periodicidad. Responsables del análisis de los resultados.

Estructura de Administración Creación de un departamento específico Organigrama de la empresa

Estructura de Administración Tareas Colaborar con otros niveles en la elaboración de la política de seguridad Elaborar y mantener procedimientos de seguridad Analizar y evaluar los riesgos Evaluar y seleccionar productos Concienciar y formar a los usuarios Descubrir vulnerabilidades Identificar futuras amenazas

Estructura de Administración Elección del Responsable del Departamento Concientizar y formar a los usuarios. Descubrir vulnerabilidades. Identificar futuras amenazas. Creación del Comité de seguridad. Responsables de los departamentos afectados.

Programa de Seguridad Objetivos: Desarrollar, implementar y mantener la Política de Seguridad.

Programa de Seguridad Sus principales acciones son: Identificar proyectos y productos. Establecer calendarios. Asignar prioridades y acordar recursos. Dictar procedimientos Administrativos, Técnicos, Físicos. De Personal Elaborar el Manual (de normas) de Seguridad

Procedimientos Administrativos Clasificación de la información. Privilegios de acceso. Gestión de la configuración. Registro de incidencias y uso de programas externos. Control y etiquetado de documentos.

Procedimientos Administrativos Almacenamiento y destrucción de soportes de información. Gestión de cambios. Mantenimiento de equipos y programas. Metodología de análisis y evaluación de riesgos. Plan de contingencia.

Procedimientos Técnicos Controles de acceso lógico Autenticación de mensajes Normas de desarrollo de programas propios Tipos de técnicas criptográficas

Procedimientos Físicos Controles de acceso físico (personas y objetos) Gestión de bienes Protección de fuegos Inundaciones y atentados

Procedimientos de Personal Contratación Concientización, formación Responsabilidades Infracciones y sanciones

Análisis y Gestión de Riesgos El Análisis de Riesgos es el estudio de los activos informáticos, sus vulnerabilidades y las amenazas que los acechan, con objeto de evaluar el impacto que sufriría su propietario de materializarse una o varias de las citadas amenazas.

Análisis y Gestión de Riesgos Evaluación: Cuantitativa (monetaria, ... ) Cualitativa (escala de 1 a 10, de muy leve a muy grave, ... )

Análisis y Gestión de Riesgos La Gestión de Riesgos, parte de los resultados del Análisis de Riesgos para elegir, instrumentar y mantener las medidas de seguridad pertinentes que cancelen hasta cierto punto los riesgos calculados.

Análisis y Gestión de Riesgos El análisis de Riesgos es: Una actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización. Una actividad de análisis que pretende, a través del rastreo, identificar los riesgos a los cuales los activos se encuentran expuestos.

Análisis y Gestión de Riesgos Además una actividad que tiene por resultado: Encontrar la consolidación de las vulnerabilidades para identificar los pasos a seguir para su corrección. Identificar las amenazas que pueden explotar esas vulnerabilidades y de esta manera se puede llegar a su corrección o eliminación.

Análisis y Gestión de Riesgos Además una actividad que tiene por resultado: Identificar los impactos potenciales que pudieran tener los incidentes y de esta forma aprovechar las vulnerabilidades encontradas. Determinar las recomendaciones para que las amenazas sean corregidas o reducidas.

Análisis y Gestión de Riesgos El análisis de riesgos puede ocurrir antes o después de la definición de una política de seguridad. Según la norma internacional BS/ISO/IEC 17799, esta actividad puede ser hecha después de la definición de la política. El propósito de tomar en cuenta una política de seguridad en el análisis se debe a varias razones:

Análisis y Gestión de Riesgos La política de seguridad delimita el alcance del análisis. Permite ser selectivo en la verificación de activos que la política establece como vulnerables. El análisis toma en cuenta la lista de amenazas potenciales que la misma política contempla.

Análisis y Gestión de Riesgos El análisis de riesgos puede ser realizado en distintos ámbitos. Por lo general, todos son considerados, puesto que la implementación de seguridad pretende corregir el entorno en que se encuentra la información, es decir en actividades relacionadas a: Generación Tránsito Procesamiento Almacenamiento

Entornos de Análisis de Riesgos Tecnológico: Pretende el conocimiento de las configuraciones y de la disposición topológica de los activos de tecnología que componen toda la infraestructura de respaldo de la información para comunicación, procesamiento, tránsito y almacenamiento.

Entornos de Análisis de Riesgos Aspectos por analizar: Los activos son de tipo aplicación y equipo, sin dejar de considerar también la sensibilidad de la información que es manipulados por ellos. Los usuarios que los utilizan. La infraestructura que les ofrece respaldo.

Entornos de Análisis de Riesgos Humano: El análisis de riesgos también se destina a la comprensión de las formas en que las personas se relacionan con los activos. Así, es posible detectar cuáles vulnerabilidades provenientes de acciones humanas, se encuentran sometidos los activos, y es posible dirigir recomendaciones para mejorar la seguridad en el trabajo humano y garantizar la continuidad de los negocios de la organización.

Entornos de Análisis de Riesgos Aspectos por analizar: El nivel de acceso que las personas tienen en la red o en las aplicaciones. Las restricciones y permisos que deben tener para realizar sus tareas con los activos. El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, etc.

Entornos de Análisis de Riesgos Procesos: Análisis de los flujos de información de la organización y la manera en que la información viaja de un área a otra, cómo son administrados. Los recursos en relación a la organización, de esta manera, es posible identificar los eslabones entre las actividades y los insumos necesarios para su realización con el objetivo de identificar las vulnerabilidades que puedan afectar la confidencialidad, la disponibilidad y la integridad de la información y en consecuencia, del negocio de la organización.

Entornos de Análisis de Riesgos Aspectos por Analizar: Identificar a las personas involucradas en el flujo de información, es posible evaluar la necesidad real de acceso que ellas tienen a los activos. Evaluar el impacto proveniente del uso indebido de la información por personas no calificadas.

Entornos de Análisis de Riesgos Físicos: El análisis físico de seguridad pretende identificar en la infraestructura física del ambiente en que los activos encuentran vulnerabilidades que puedan traer algún perjuicio a la información y a todos los demás activos.

Entornos de Análisis de Riesgos Aspectos por Analizar: Identificar posibles fallas en la localización física de los activos tecnológicos. Evaluar el impacto de accesos indebidos a las áreas en donde se encuentran activos tecnológicos. Evaluar el impacto de desastres ambientales en la infraestructura de tecnología de la empresa.